Hello,
heute Nacht ist eine der von mir betreuten Webseiten angegriffen worden. Als vermeintlicher Verursacher konnte
NetRange: 74.119.232.0 - 74.119.235.255
CIDR: 74.119.232.0/22
OriginAS: AS46506, AS16626
NetName: SIMPLEHELIX
NetHandle: NET-74-119-232-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
Comment: http://www.simplehelix.com
Comment: Standard NOC hours are 24/7 CST
RegDate: 2009-11-19
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-74-119-232-0-1
OrgName: SimpleHelix.com
OrgId: SIMPL-62
Address: 4092 Memorial Pkwy SW
Address: Suite 202
City: Huntsville
StateProv: AL
PostalCode: 35802
Country: US
RegDate: 2009-10-12
Updated: 2011-12-27
Comment: http://www.simplehelix.com
Ref: http://whois.arin.net/rest/org/SIMPL-62
festgestellt werden. Habe ich da irgend eine Chance, etwas zu tun?
Der Ausschnitt aus dem Access-Log ist unter
http://selfhtml.bitworks.de/angriffsmuster/20140219_0929_access_log.txt
zu sehen. Der Server-Status 200 rührt daher, dass alle Anfragen, die nicht befriedigt werden können, auf die Haupt-index.php umgelenkt werden. Die unterschiedlichen Content-Lenght rühren von einer Kontrollausgabe (im HTML-Kommentar verpackt) in der die aktuelle Request-URL angezeigt wird.
Das werde ich nun mal rausnehmen aus dem Produktivbetrieb. Die Seite ist allerdings noch nicht fertig und ich benötige auch auf dem P-Server gelegentlich noch Kontrollausgaben. Der weicht in weinem Verhalten geringfügig vom Entwicklungsserver ab...
Na jedenfalls lasse ich dieses Beispiel mal so stehen, damit man den Leuten die immer mit
file_get_contents($_GET['filename'])
mal plastisch vorführen kann, warum das so schädlich ist.
BTW: kann man hier in [Code]-Blöcken eigentlich auch die Farbe steuern?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg